[[373471]]

ESET的研究人員發(fā)現(xiàn)了一起針對越南政府網(wǎng)站的供應(yīng)鏈攻擊，就在Able Desktop軟件遭受供應(yīng)鏈攻擊的幾周后，越南政府認(rèn)證機構(gòu)(VGCA)的網(wǎng)站ca.gov.vn又發(fā)生了一起類似的攻擊。攻擊者修改了該網(wǎng)站上可供下載的兩個安裝程序，并添加了一個后門，以攻擊合法應(yīng)用程序的用戶。

ESET的研究人員在2020年12月初發(fā)現(xiàn)了這種新的供應(yīng)鏈攻擊，并通知了受攻擊的組織和VNCERT。研究人員認(rèn)為，截至2020年8月底，該網(wǎng)站并沒有提供受攻擊的軟件安裝程序，ESET的追蹤研究數(shù)據(jù)也并沒有表明受攻擊的安裝程序已傳播到其他任何地方。越南政府認(rèn)證機構(gòu)也承認(rèn)，他們在ESET通知之前就檢測到了這次攻擊，并通知了下載木馬軟件的用戶。

越南的供應(yīng)鏈攻擊

在越南，數(shù)字簽名非常普遍，因為數(shù)字簽名的文檔具有與“濕”簽名相同的可執(zhí)行性。根據(jù)第130/2018號法令，用于簽署文件的加密證書必須由包括VGCA在內(nèi)的授權(quán)證書提供商之一授予，VGCA是政府密碼委員會的一部分，該委員會又歸屬新聞和通信部。

除了頒發(fā)證書，VGCA還開發(fā)和發(fā)布了數(shù)字簽名工具包。越南政府用它來簽署數(shù)字文件，很可能私人公司也用它。對于APT小組來說，認(rèn)證機構(gòu)網(wǎng)站的攻擊是一個很好的機會，因為訪問者可能會對負(fù)責(zé)數(shù)字簽名的國家組織高度信任。

如圖1所示，這些程序似乎部署在黨和國家機構(gòu)中。

ca.gov.vn的屏幕截圖

根據(jù)ESET的分析，至少從2020年7月23日到2020年8月16日，ca.gov.vn就已經(jīng)受到攻擊。有兩個安裝程序可以下載，gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改為包含了一個名為PhantomNet或SManager的惡意軟件，NTT Security最近對該軟件進行了分析。目前ESET能夠確認(rèn)這些安裝程序是通過HTTPS協(xié)議從ca.gov.vn下載的，所以研究人員認(rèn)為這不太可能是中間人攻擊。指向惡意安裝程序的URL為：

來自VirusTotal的數(shù)據(jù)也證實了這一點，如圖2所示。

VirusTotal截圖，它顯示了木馬安裝程序下載URL的位置

木馬安裝程序沒有正確簽名，但是我們注意到干凈的GCA安裝程序也沒有正確簽名(該對象的數(shù)字簽名未驗證)，官方和木馬MSI都使用分配給Safenet公司的證書。

圖3是供應(yīng)鏈攻擊的摘要，要想被破解，用戶必須手動下載并執(zhí)行官方網(wǎng)站上的破解軟件。

供應(yīng)鏈攻擊的簡化方案

下載并執(zhí)行后，安裝程序?qū)诱鍳CA程序和惡意文件。惡意文件被寫入C：\ Program Files \ VGCA \ Authentication \ SAC \ x32 \ eToken.exe。通過安裝合法程序，攻擊者可以確保最終用戶不會輕易注意到這種攻擊。

這個惡意文件是一個簡單的dropper ，它提取名為7z.cab的Windows cabinet文件(.cab)，其中包含后門。

如果dropper作為管理員運行，則后門將被寫入c:\ windows \ appatch\ netapi32.dll，并且為了持久性攻擊，dropper將惡意DLL注冊為服務(wù)。

如果以普通用戶身份運行，則后門將寫入%TEMP%\ Wmedia \

PhantomNet

后門由其開發(fā)人員命名為Smanager_ssl.DLL，但研究人員使用的是PhantomNet，因為這是該后門的較舊版本中使用的項目名稱。最新版本是在2020年4月26日，即在供應(yīng)鏈攻擊發(fā)生將近兩個月之前編譯的。除越南外，研究人員在菲律賓也看到了受害者，但不幸的是，研究人員沒有發(fā)現(xiàn)這些示例中的傳播機制。

這個后門很簡單，大部分的惡意功能可能是通過額外的插件來部署的。它可以檢索受害者的代理配置，并使用它接觸到命令和控制(C&C)服務(wù)器，這表明目標(biāo)很可能在一個公司網(wǎng)絡(luò)中運行。

PhantomNet使用HTTPS協(xié)議與其硬編碼的C&C服務(wù)器進行通信： vgca.homeunix[.]org和office365.blogdns[.]com。為了防止中間人攻擊，PhantomNet使用SSPI庫中的函數(shù)實現(xiàn)證書固定。在與C&C服務(wù)器的第一次連接期間下載證書，然后將其存儲在Windows證書存儲區(qū)中。

除了使用動態(tài)DNS提供程序外，有趣的是注意到第一個子域的名稱vgca是為了模仿越南政府證書頒發(fā)機構(gòu)的名稱而選擇的。

攻擊者可以使用以下五個命令來控制植入程序:

在VirusTotal上，研究人員找到了一個與上述導(dǎo)出匹配的插件。它是一個調(diào)試版本，根據(jù)其PDB路徑和其他調(diào)試路徑而命名為SnowballS：

初步的粗略分析表明，該工具可以用于橫向移動，因為它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit滲透測試套裝中的一個powershell版本的mimikatz工具，用來抓取windows操作系統(tǒng)中的密碼。它還可以收集有關(guān)受害設(shè)備和用戶帳戶的信息。這表明PhantomNet可以接收額外的和復(fù)雜的插件，這些插件可能只部署在惡意軟件運營商特別感興趣的設(shè)備上。

在越南的攻擊事件中，研究人員時無法恢復(fù)有關(guān)攻擊后活動的數(shù)據(jù)，因此研究人員無法了解攻擊者的最終目標(biāo)。

總結(jié)

借助Able Desktop的攻擊威力，Lazarus對WIZVERA VeraPort的攻擊以及最近對SolarWinds Orion的供應(yīng)鏈攻擊，可以看到，供應(yīng)鏈攻擊是網(wǎng)絡(luò)間諜組織非常常見的攻擊途徑。在本文的示例中，攻擊者就是攻擊了一個越南證書頒發(fā)機構(gòu)的網(wǎng)站，該機構(gòu)的用戶可能對該機構(gòu)有很高的信任度。

供應(yīng)鏈攻擊通常很難被發(fā)現(xiàn)，因為惡意代碼通常隱藏在許多合法代碼中，這使得發(fā)現(xiàn)它們變得非常困難。

IoC

本文我翻譯自：https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如若轉(zhuǎn)載，請注明原文地址。